Falha no Portal Steam dava acesso à CD Keys de jogos

Falha no Portal Steam dava acesso à CD Keys de jogos. Pesquisador contou como descobriu um bug no Steam Marketplace da Valve que poderia ter sido explorado por ladrões para roubar chaves de licença de jogo e jogar títulos pirateados.

O pesquisador Artem Moskowsky disse ao The Register no início da semana passada que ele se deparou com a vulnerabilidade – que lhe rendeu uma recompensa de US $ 20.000 por reportá-lo – por acidente enquanto olhava o portal do parceiro Steam. 

O portal Steam é usado por desenvolvedores para gerenciar os jogos que disponibilizam para download no Steam.

O “caçador de bugs profissional” e pentester, Moskowsky disse que ele tem feito pesquisas de segurança desde que ele estava na escola, e nos últimos anos, ele faz carreira em encontrar e relatar falhas.

Nesse caso, enquanto procurava no site do desenvolvedor do Steam, ele notou que era bastante fácil alterar os parâmetros em uma solicitação da API e, em troca, obter as chaves de ativação de um jogo selecionado. Essas chaves, também conhecidas como CD Keys, podem ser usadas para ativar e executar jogos baixados do Steam. A API é fornecida para que os desenvolvedores e seus parceiros possam obter chaves de licença para que seus títulos passem para os jogadores.

Esse bug foi descoberto aleatoriamente durante a exploração da funcionalidade de um aplicativo da web“, explicou Moskowsky ao The Register. “Poderia ter sido usado por qualquer atacante que tivesse acesso ao portal.

Essencialmente, qualquer pessoa que tenha uma conta no portal do desenvolvedor poderá acessar as chaves de ativação do jogo para qualquer outro jogo Steam hospedado e vendê-las ou distribuí-las para os piratas usarem para jogar no Steam. A obtenção das
/partnercdkeys/assignkeys/ API com uma contagem de chave zero retornou um grande número de chaves de ativação.

Para explorar a vulnerabilidade, foi necessário fazer apenas uma solicitação“, disse Moskowsky “Consegui contornar a verificação da propriedade do jogo, alterando apenas um parâmetro. Depois disso, eu poderia inserir qualquer ID em outro parâmetro e obter qualquer conjunto de chaves.

Quão severa foi a falha? Moskowski diz que, em um caso, ele inseriu uma seqüência aleatória no pedido, para escolher um título aleatoriamente e, em troca, obteve 36.000 chaves de ativação para o Portal 2, um jogo que ainda é vendido por $ 9.99 na loja Steam.

Felizmente para a Valve, Moskowsky optou por apresentar a falha em particular via HackerOne. O erro de programação já foi corrigido.

Como mostra a entrada do HackerOne da vulnerabilidade, Moskowsky primeiro apresentou o relatório sobre a falha no início de agosto. Três dias depois, a Valve distribuiu a recompensa de US $ 15 mil e um bônus de US $ 5 mil pela descoberta, embora a Valve tenha permitido que o relatório fosse divulgado em 31 de outubro.

O pesquisador nos disse que esta é uma reviravolta muito boa, e a Valve, em particular, é muito boa em lidar com solicitações de pesquisadores e pagar recompensas de bugs.

Impressionantemente, essa recompensa de US $ 20 mil nem é o maior pagamento que Moskowsky recebeu do serviço de jogos. Em julho, ele recebeu US $ 25.000 por eliminar um bug de SQL Injection no mesmo portal do desenvolvedor.

Fonte: The Register

Veja também:

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. CrowdStrike expande presença internacional para atender à crescente demanda do cliente

Deixe sua opinião!